信创与密码应用论坛（北京）-许欣芃《证券行业系统国密应用实践分享》（19页）.pdf

1、证券行业系统国密应用实践分享恒生电子股份有限公司 许欣芃CONTENTS目 录01.政策监管02.技术方案03.恒生服务2022 WEST L AKE CYBERSECURIT YCONFERENCE01政策监管01.行业背景国家战略技术标准政策法规行业监管与标准近年来随着金融安全上升到国家安全高度，国家相关部门和监管机构站在国家安全和长远战略的高度，提出了推动国密算法应用实施、加强行业安全可控的要求。近几年来国家密码管理局发布SM2、SM3、SM4等算法使用的标准规范，为算法升级提供了技术基础。信息安全技术 信息系统密码应用基本要求(GB/T 39786-2021)对各等级信息系统从技术应用

2、、密钥管理、安全管理等层面作出了实质性的密码应用要求。2018年中办、国办联合颁发的“36号文”金融和重要领域密码应用与创新发展工作规划（2018-2022年）的通知，在包括金融行业在内的国家重要信息领域全面推进国产密码算法及应用。2020年1月1日中华人民共和国密码法实施，进一步规范了国产密码的应用和管理。证监会根据证券期货业密码应用工作规划（2015-2020年）（证监发201592号）做出金融行业全面推行“国密”的统一安排。2022年2月17日，参照GB/T 39786的行业标准JR/T证券期货业信息系统密码技术应用指引发布征求意见，为证券期货业息系统密码技术应用提供了标准参考。01.行

3、业现状证券行业长期以来沿用3DES、SHA-1、RSA等国际通用密码算法体系及相关标准，既不符合国家信息安全战略也不满足相关政策法规的要求，对于证券行业的稳定发展造成潜在的信息安全风险。证券网上交易系统的安全加固模块普遍采用“账户+密码+验证码”+TLS等方式进行用户身份识别和通信，身份认证强度和通信安全有待加强；采用USBKEY等硬介质存放证书以及传统的PKI身份认证模式在证券业有较大的推广难度，证券行业客户要求操作便捷、系统响应快速。证券行业网上交易系统建设布局相对分散且交易渠道多样化，主要包括官网、APP、公众号以及第三方渠道接入，密码应用安全改造上要统筹兼顾、通盘考虑，重点需要以APP

4、为切入点进行改造。01.证券期货基金行业最新进展时间节点2021年12月底完成方案制定和评审；2022年12月底完成系统改造、安全性评估测试及收尾工作；国有控股必须改造，民营和外资机构不做强制要求（但强调如因未改造而引发的安全问题需要机构本身承担责任）改造对象等保三级系统强制改造等保二级系统鼓励尽量改造汇报情况每月20日前向证监会汇报改造进度工作进度、阶段性成果、存在的问题等完成PC端国密改造试点11家移动端完成评审移动端统一完成密评（试点）所有券商完成方案制定和评审完成系统改造、安全性评估及收尾工作所有券商完成国密密评2020年底2022-12月底2022-6月2021-6月2021-9月2

5、021-12月02技术方案02.建设目标1.加强客户端用户身份鉴别应用SM2、SM3、SM4国产密码算法，基于协同签名和国密证书对客户身份进行双重认证。2.加固密码算法，提高密钥使用和存储的安全采用密钥分割技术、采用客户端私钥片段PIN码加密存储技术，采用服务端私钥片段使用硬件加密存储技术，采用分段数字签名的协同签名等基于SM2、SM3、SM4等国产密码算法技术。3.高质量随机数通过国密认证的加密卡硬件，为密码应用中SM2非对称密钥生成、SM4对称密钥生成提供高质量随机数。4.提高通讯链路机密性与关键交易数据的安全性l 建立基于国密证书的安全链路；l 对关键交易数据做不可否认性、完整性保护。加

6、强网上交易系统互联网接入的安全级别，实现符合国密要求、基于数字证书的强身份认证以及对关键交易数据安全保护 02.改造内容和边界p 交易系统国密改造的内容主要集中在：身份认证、安全传输、数据签名。p 交易接入网关作为应用系统的入口，衔接互联网和企业内网通讯，是行业信息系统重点防范对象之一，也是这次国密改造项目的重点和切入点。建设内容身份认证关键数据签名验证安全传输02.建设思路以国产密码技术为核心全面支持国密算法，其中SM2算法用于签名验签、证书验证、密钥协商，SM3算法用于数据报文的完整性检查，SM4算法用于传输数据的加解密。结合业务特点和行业要求证券行